公開日:2024/09/06 最終更新日:2024/09/06

JVN#49873988
PRIMERGYにおけるSecure Bootを回避される脆弱性

概要

エフサステクノロジーズ株式会社が提供するPRIMERGYには、Secure Bootを回避される脆弱性が存在します。

影響を受けるシステム

  • PRIMERGY GX2460 M1
    • PYG2461R2T 7.803以前
    • PYG2461R5T 7.108以前
  • PRIMERGY GX2570 M5 R04以前
  • PRIMERGY GX2570 M6 1.6以前
  • PRIMERGY LX1430 M1 R07以前

詳細情報

PRIMERGYは、エフサステクノロジーズ株式会社が提供するIAサーバです。PRIMERGYには、Secure Bootを回避される脆弱性が存在します。これは、Binarly社が公表した「PKFail」と呼ばれる脆弱性(CVE-2024-8105)に起因しています。

想定される影響

当該製品のSecure Boot機能が回避され、不正に改ざんされたOSを起動させられる可能性があります。

対策方法

アップデートする
開発者が提供する情報をもとに、当該製品のBIOSを最新版へアップデートしてください。

ワークアラウンドを実施する
開発者は、以下のワークアラウンドの適用を推奨しています。

  • Platform Keyの変更を実施してください
詳細は、開発者が提供する情報をご確認ください。

ベンダ情報

ベンダ ステータス ステータス
最終更新日		 ベンダの告知ページ
エフサステクノロジーズ株式会社 該当製品あり 2024/09/06 エフサステクノロジーズ株式会社 の告知ページ

参考情報

  1. Binarly
    PKfail: Untrusted Platform Keys Undermine Secure Boot on UEFI Ecosystem
  2. Binarly
    PKfail - Binarly Research Report July 25 2024(PDF)
  3. CERT/CC Vulnerability Note VU#455367
    Insecure Platform Key (PK) used in UEFI system firmware signature

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

CVSS v3 CVSS:3.0/AV:L/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:H
基本値: 6.4
攻撃元区分(AV) 物理 (P) ローカル (L) 隣接 (A) ネットワーク (N)
攻撃条件の複雑さ(AC) 高 (H) 低 (L)
必要な特権レベル(PR) 高 (H) 低 (L) 不要 (N)
ユーザ関与レベル(UI) 要 (R) 不要 (N)
スコープ(S) 変更なし (U) 変更あり (C)
機密性への影響(C) なし (N) 低 (L) 高 (H)
完全性への影響(I) なし (N) 低 (L) 高 (H)
可用性への影響(A) なし (N) 低 (L) 高 (H)

謝辞

この脆弱性情報は、製品利用者への周知を目的に、開発者がJPCERT/CCに報告し、JPCERT/CCが開発者との調整を行いました。

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2024-8105
JVN iPedia JVNDB-2024-000090